個人のブログサイトにプライバシーポリシー(個人情報保護方針)は必要か?
必要な場合と必要ない場合とがあります。
私KenUのWordPress(ワードプレス)ブログサイトには必要と判断しました。
以下に、個人情報保護に関する法的要件を取り上げながら、その理由を説明します。
※本記事は、2023年時点の法規制情報に基づいて作成しています。以後の法令の改正の有無にご注意ください。
プライバシーポリシーが不要な個人ブログサイト
日本国内おいて、第三者のブログ運営サービスを利用し、非営利で収益をともなわない、個人のブログサイトにおいては、プライバシーポリシー(以下「プラポリ」という。)は要求されていません。
なぜなら、そのような個人のブログは、ソーシャルメディアツールとしてのステータスであり、処理するために個人情報を収集しないからです。
その観点から、個人向けブログサービスを利用することは、個人のFacebookページやInstagramページを運営することと同じです。
また、『個人情報の保護に関する法律』(以下、「個人情報保護法」という。)においては、個人情報を取り扱う事業者及び行政機関等が対象です。
(目的)
出典:個人情報の保護に関する法律(平成十五年法律第五十七号 )
第1条
この法律は、・・・(中略)・・・個人情報を取り扱う事業者及び行政機関等について・・・(中略)・・・遵守すべき義務等を定める・・・(後略)
プライバシーポリシーがあるほうが良い個人ブログサイト
個人のブログサイトでも、収益化している場合には、事業者とみなされることも考えられ、個人情報保護法の適用対象になるかも知れません。
収益化には、例えば、Google AdSense(グーグルアドセンス)、Amazonアソシエイト、楽天アフィリエイト、その他のアフィリエイト などがあります。
そして、コメント欄、無料のブログ購読登録、お問い合わせフォームなどを設定しているサイトでは、ユーザー名、メールアドレスなどの個人情報を取得する場合があり、プラポリの作成は推奨されます。
個人情報保護法では、取得した個人情報の利用目的を公表することが義務付けられています。
しかし、条文には「プラポリを作れ」といった旨は書かれていません。
(取得に際しての利用目的の通知等)
出典:個人情報の保護に関する法律(平成十五年法律第五十七号)
第21条
第1項
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
第3項
個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
また、『個人情報の保護に関する法律についてのガイドライン(通則編)』でも、必ずしもプラポリのホームページへの掲載は必要とされていません。
(※1)「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、ホームページへの掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、知ることができる状態に置くことをいい・・・(中略)・・・必ずしもホームページへの掲載・・・(中略)・・・等が継続的に行われることまでを必要とするものではないが・・・(後略)
出典:個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月(令和4年9月一部改正)個人情報保護委員会)
しかし、個人情報の提供のあるブログ利用者に対して、都度その利用目的を通知するのは非効率的であり、あらかじめプラポリで公表しておくことは簡単で一番楽な方法です。
また、『個人情報の保護に関する基本方針』(平成16年4月2日閣議決定、令和4年4月1日一部変更)によれば、プラポリを対外的に明確化することを自主的に取り組むことが期待されています。
【補足】
Google AdSenseを導入した場合には、『AdSense オンライン利用規約』のプライバシーのセクションに「明確に表示され、簡単にアクセス可能なプライバシー ポリシーを広告媒体に必ず付すものとし」といった記載があり、サイトへのプラポリの掲示が求められています。
その際には、必須の記載事項が規定されています( Google Adsenseヘルプ参照 ⇒ プライバシーとセキュリティ>必須コンテンツ 「サイトのプライバシー ポリシーについて 」
ちなみに、このブログサイトは、プラポリの掲載なしでAdSenseの審査に合格しています。
プライバシーポリシーを作らなければならない個人ブログサイト
有料の購読や有料メーリングリスト登録などを設定しているブログサイトでは、営利目的の事業活動を行う個人情報取扱事業者に特定され、利用者との契約に際して、あらかじめ利用目的の明示が必要になります。
(取得に際しての利用目的の通知等)
出典:個人情報の保護に関する法律(平成十五年法律第五十七号 )
第21条
第2項
個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。
利用目的の明示の仕方は色々あると思いますが、プラポリのほか十分な検討が必要です。
その際には、法律の専門家の意見を聞くことも必要かも知れません。
WordPressブログにプライバシーポリシーが必須な理由
KenUのWordPressブログにプラポリを作成する理由は以下のとおりです。
- コメント欄の設置や無料のブログ購読登録など、個人情報の取得が行われる場合がある
- 第三者サービスと提携し収益化されており、クッキーが使用されている
- WordPress.comの利用規約に、カリフォルニア州法が適用されることが述べられている
- WordPressは、世界中の人々に利用されるウェブプラットフォームであるため情報提供が重要
- プラポリを作成することは、グローバルなウェブサイト運営の重要なトレンドになっている
多くの国や地域では、個人情報保護に関する法的要件が存在します。
欧州一般データ保護規則(GDPR)、カリフォルニア州 消費者プライバシー法(CCPA)、カリフォルニア州オンラインプライバシー保護法(CalOPPA)、カナダ個人情報保護法(PIPEDA)などが代表的な例です。
CalOPPAでは、商用Webサイトやオンラインサービスの運営者が、カリフォルニア州に居住する個々の消費者のための個人情報を収集する場合、プラポリの掲載が要求されています。
第22章。インターネットプライバシー要件
出典:カリフォルニア州オンラインプライバシー保護法(CalOPPA)
22575.
(a)商用Webサイトまたはオンラインサービスを使用または訪問するカリフォルニア州に居住する個々の消費者に関する個人を特定できる情報をインターネットを通じて収集する商用Webサイトまたはオンラインサービスの運営者は、そのプライバシーポリシーをそのWebサイトに目立つように掲載するものとします。
その他、法的要件以外には、一般的にWordPressブログではプラポリの作成が推奨されています。
その効用として次のことが挙げられています。
- 法律に基づいた情報提供を行うことで、法的要件に遵守することが可能になる
- 適切なプライバシーポリシーを提供することで、利用者の個人情報の取り扱いに対する懸念を解消し、信頼を構築することができる
以上の理由に基づき、プラポリが必要であると判断しました。
プライバシーポリシーの作り方
さて、GDPRのような海外の規則に対応したプラポリをどうやって作るか?
海外の個人情報保護関連法を全て理解することは困難です。
WordPressにはプライバシーポリシーテンプレートやプライバシーポリシージェネレータープラグインなどがあります。
しかし、プラポリは、利用者に対して透明性と信頼性を提供する重要な文書ですから、自身のサイトの運用状況や利用者のニーズに合わせて適切な内容を記載することが大切です。
また、プラポリの文章は、ユーザーが容易に理解できる形で情報を提供することが求められています。
具体的には、長すぎず簡潔に、専門的な用語を避け、できるだけ明確な表現で、一般の人々が理解しやすい言葉で、専門知識がない人でも内容を把握できるように。
そのようなことから、KenUはChatGPTと対話しながら作成することにしました。
流れはだいたい次のようになります。
- プラポリに必要な項目を質問
- 各項目の具体的な記載例を書いてもらう
- 個人のブログサイト用のプライバシーポリシーに修正してもらう
- ChatGPTが作成したプラポリのたたき台をもとに、各項目について質問と修正の対話をしながら詳細を詰めていく(※ChatGPTは嘘をつくことがあるので、自分でよく確認して、間違いがあればChatGPTに指摘してだめだしすることが重要。また、こちらからも「こうしたらどうか?」「これでもよいか?」「この表現はおかしくないか?」など提案することも重要。)
- 自身で修正またはChatGPTに修正してもらったプラポリ案の評価とアドバイスをお願いする
- 必要に応じて修正、評価とアドバイスを繰り返す
- 完成したプラポリの最終評価をお願いする
- 新たな知見を得たら、ChatGPTと対話しながらプラポリをバージョンアップし更新する(※KenUのプラポリは、この記事執筆時点でVer.3です。)
KenUのプラポリはこちら ⇒ プライバシーポリシー(JP), Privacy Policy(EN)
それぞれ固定ページで作成し、サイトのヘッダーメニューとフッターにリンクを掲載しています。
そして、ChatGPTによる評価とアドバイスは次のとおりです。
なお、英語版のプラポリは、ChatGPTとGoogle翻訳の両方に翻訳してもらい、両者を照らし合わせながら作成し、さらに日本語への逆翻訳などを繰り返して修正しながら作りました。
海外からのアクセス
KenUのブログは、海外からどれくらいのアクセスがあるのでしょうか?
2022年の1年間の統計情報を見ると、85か国・8681回のアクセス(日本を除く)がありました。(※日本のアクセスは、約22万回)
国内テンプレのコピペはやめたほうがいい
使用しているブログシステムやサイトの運営状況などを考慮したり区別をせずに、一律に「個人ブログはプラポリが必須」の旨、過剰な刺激を与える記載をしているブログがたくさんあります。
そのせいなのか、国内向けかつ個人情報を取扱わないブログなのに、個人情報を取扱う内容になっているプラポリをインターネット上からコピペして、実際の運営と乖離したプラポリを表示しているサイトをたくさん見かけます。
Google Adsenseの審査にまだ合格もしておらず広告表示もされていないのに、Google Adsenseを使用している旨の記載をしていたり、Google Adsenseが要求する必須の記載事項も満たしていなかったり、といったプラポリも数多く見受けられます。
実態に照らし合わせてプラポリを作成しなければ意味がありませんし、虚偽の内容はユーザーの信頼を喪失しかねません。
では、情報取得(アドセンス、アフィリエイト、コメントフォーム、問合せフォームなど)がないブログでは、どのようにプラポリを書いたらよいのか?
ChatGPTに記載例をつくってもらいました。
国内のインターネット上で【コピペ可】【コピペOK】としているサイトのプラポリは、経済産業省の『個人情報の取扱方針(ひな形)』をベースにしたものがほとんどで、その目次構成は次のようになっています。
【目次構成】
出典:経済産業省 『個人情報の取扱方針(ひな形)』https://www.meti.go.jp/committee/kenkyukai/shoujo/smart_house/pdf/009_s15_00.pdf
- 基本方針
- 適用範囲
- 個人情報の取得と利用目的
- 個人情報の管理
- 第三者提供の有無
- 個人情報の開示・訂正・利用停止等
- 問い合わせ先
- 改訂
GDPRにも適応していないし、令和2年の法改正前のひな形なので、コピペはおすすめしません。
また、一般の個人ブロガーであれば、Google Analytics(アナリティクス)は利用せず、プラポリに記載しないのがおすすめです。
一方、Google Search Console(サーチコンソール)の利用は、サイトがクッキーを使用するわけではなく、ブラウザの問題なので、プラポリに記載する必要はありません。
その理由は、次に説明するアナリティクスとサーチコンソールの違いによります。
- Googleアナリティクスは、ウェブサイトにGoogleが提供するプログラム(スクリプト)を埋め込むことによって、Googleはウェブサイトの訪問者を追跡し、トラフィックデータやユーザーの行動データを収集します。
- Googleサーチコンソールは、Googleの検索エンジンによるウェブサイトのクロール、インデックス化、ランキングに関する情報を提供します。このプロセスにおいて、Googleはウェブサイト自体がユーザーのクッキー情報を使用してトラッキングや解析を行うことはありません。Googleサーチコンソールは、ウェブサイトのSEOパフォーマンスを評価するためのデータを提供し、ウェブサイトがGoogleの検索エンジンでどのように表示されているかに関する情報を提供しますが、ウェブサイトはユーザーのクッキー情報を直接収集または使用しません。
***** 関連記事 *****
Google AdSenseのGDPRメッセージCMPを設定するか、EEA, UKアクセスを遮断するか